2026年安全开发生命周期专家考试题库（附答案和详细解析）（0404）.docxVIP

2026年安全开发生命周期专家考试题库（附答案和详细解析）（0404）

安全开发生命周期专家考试试卷

一、单项选择题（共10题，每题1分，共10分）

安全开发生命周期（SDL）中，威胁建模阶段的主要目的是？

A.编写安全代码

B.识别潜在安全威胁和漏洞

C.执行渗透测试

D.制定用户隐私政策

答案：B

解析：威胁建模的核心是系统化识别应用程序可能面临的安全威胁（如STRIDE模型），并据此设计缓解措施。选项A属于实施阶段，C属于验证阶段，D属于需求阶段。

微软SDL的”安全要求”阶段应参考哪项标准？

A.OWASPTop10

B.ISO27001

C.NISTSP800-53

D.PCIDSS

答案：A

解析：OWASPTop10是Web应用安全的权威威胁清单，SDL要求阶段需据此定义安全需求。其他选项虽为安全标准，但非SDL专门要求的应用层威胁参考。

二、多项选择题（共10题，每题2分，共20分）

下列哪些属于SDL的核心原则？（）

A.安全左移

B.默认安全配置

C.最小权限原则

D.漏洞奖励计划

答案：ABC

解析：安全左移（早期介入）、默认安全、最小权限是SDL三大支柱。漏洞奖励计划属于运营阶段措施，非开发过程核心原则。

安全设计评审中必须包含的内容有？（）

A.身份验证流程时序图

B.第三方库许可证清单

C.数据流边